By | February 27, 2018

אבטחה חוקרים ElevenPaths התראה של התוכנה הזדונית העדכנית ביותר אשר גונב cryptocurrency על-ידי שינוי כתובות העתקה מהלוח.

גנב cryptocoin נקרא Evrial ומצא לאחר ניתוח זה עמוק יותר, המומחים ElevenPaths כי מפתח הרוסי שלה שהיה מיקוד נוכלים אחרים גם כן.

עד לסוף השנה האחרונה, CryptoShuffle היה מדגם תוכנות זדוניות אשר יכולה לקרוא את הלוח ולשנות כתובות cryptocurrency. עם זאת, השנה, מישהו נמצא כי הוא לעשות עסקים עם מתן תכונות אלה כשירות, החלה למכור את הפלטפורמה עצמה קוראים לזה “Evrial”.

היא כללה דוגמה תוכנות זדוניות .NET אשר יוכל לגנוב ממך סיסמאות בדפדפנים, לקוחות ה-FTP, Pidgin. בנוסף, התוכנה הזדונית יכול לשנות את הלוח לטוס כדי לשנות כל כתובת cryptocurrency המועתקים לכל כתובת שהוא רצה.

חוץ מזה, התוכנה הזדונית Evrial מאפשר את ההאקר לשלוט בהכל, החלונית נוח שבו הנתונים גנוב ניתן לסייר בקלות. ברגע הפושע קונה את היישום, הוא ניתן להגדיר “שמו” עבור רישום לתוך החלונית ‘ ‘ אשר יהיה בקידוד קשיח בקוד כדי להפוך את הגירסה Evrial שנשלחה ייחודי לו.

בכל פעם שמישהו רוצה לבצע העברה ביטקוין, בדרך כלל הם העתק והדבק את כתובת היעד. בינתיים, ההאקר תמתין עד שהמשתמש, לבטוח בפעולה הלוח, שולח טרנזקציה חדשה לכתובת cryptocurrency שהועתקו, מבלי לדעת כתובת הנמען שונתה בשקט לאחד השייכים ההאקר. Evrial מבצע פעולה זו על רקע עבור סוגים שונים של כתובת כולל ביטקוין, Ethereum, Litecoin, Monero כתובות גם לגבי מזהי אדים ויחידות של wmr אין Webmoney ו WMZ.

הבורא תוכנות זדוניות חושף את שם המשתמש שלו במברק: @Qutrachka. חשבון זה כלול בקוד המקור כדי להיות מסוגל ליצור איתו קשר. באמצעות מידע זה ודוגמאות ניתחו אחרים, מומחי אבטחה הצליחו לזהות משתמשים מסוימים בפורומים באינטרנט עמוק תחת השם Qutra שמטרתו העיקרית מכר את התוכנה הזדונית. לדברי החוקרים, היוצר של Evrial קיבלה סך של תנועות 21 לתוך הארנק ביטקוין, כנראה את הקורבנות שלו, איסוף כ 0.122 BTC.

הבורא תוכנות זדוניות עברה את כל הכסף כתובות שונות, קיבלה גם Litecoins 0.0131 אשר זמין עדיין בארנק שלו. עם זאת, זה לא היה אפשרי לעקוב אחר כל התשלומים הקשורים לחשבון שלו Monero בגלל הדרך שבה זה עובד בטכנולוגיה כדי להסתיר את המידע של הצדדים אשר היו מעורבים בכל תנועה.

Leave a Reply

Your email address will not be published. Required fields are marked *